Inventario de credenciales¶
Política de seguridad¶
- Ninguna credencial real se almacena en este repositorio.
- Este archivo documenta dónde y cómo se almacenan las credenciales.
- Las contraseñas, tokens y claves privadas residen en un gestor de contraseñas.
Gestor de contraseñas¶
| Gestor | Propósito | Acceso |
|---|---|---|
| [Bitwarden / Vaultwarden / 1Password] | Credenciales de servicios, dominios, servidores | [Usuario administrador] |
Ubicaciones por tipo¶
Servidores¶
| Servidor | Usuario | Dónde está la contraseña | Notas |
|---|---|---|---|
| Proxmox-01 | root | Gestor de contraseñas, entry "Proxmox Root" | |
| Proxmox-02 | root | Gestor de contraseñas, entry "Proxmox Root" | Misma contraseña que P01 |
| Jellyfin-01 | [usuario] | Gestor de contraseñas | |
| PBS | root | Gestor de contraseñas |
Servicios Cloudflare¶
| Servicio | Dónde está el token | Notas |
|---|---|---|
| Cloudflare API Token | Gestor de contraseñas, entry "Cloudflare API" | Scope: Zone.DNS, Zone.READ |
| Cloudflare Tunnel Token | /etc/cloudflared/ + gestor de contraseñas | Token almacenado en archivo local |
Servicios Docker¶
| Servicio | Dónde está | Formato | Notas |
|---|---|---|---|
| Jellyfin | .env en /opt/jellyfin/ + gestor | Variable de entorno | No incluir en Git |
| Sonarr | .env en /opt/sonarr/ + gestor | Variable de entorno | |
| Radarr | .env en /opt/radarr/ + gestor | Variable de entorno | |
| Qbittorrent | .env en /opt/qbittorrent/ + gestor | Variable de entorno | Cambiar contraseña por defecto |
Red¶
| Equipo | Dónde está | Notas |
|---|---|---|
| Router | Gestor de contraseñas | Entry "Router Admin" |
| Switch | Gestor de contraseñas | Entry "Switch Admin" |
| WiFi | Gestor de contraseñas | Entry "WiFi [SSID]" |
SSH¶
| Servidor | Método | Dónde está la clave |
|---|---|---|
| Todos | Clave pública/privada | ~/.ssh/id_ed25519 + backup en gestor |
| Proxmox | Clave SSH única | ~/.ssh/id_ed25519 |
Otras credenciales¶
| Recurso | Dónde está | Notas |
|---|---|---|
| GitHub PAT | Gestor de contraseñas | Token de acceso personal |
| Cloudflare Pages Token | Gestor de contraseñas | Para CI/CD |
| Docker Hub | Gestor de contraseñas | Cuenta personal |
| Dominio (registrador) | Gestor de contraseñas | Entry "Domain Registrar" |
Procedimiento de rotación¶
- Contraseñas de servicio: Cada 6 meses
- Tokens de API: Inmediatamente si se sospecha compromiso
- Claves SSH: Cada 12 meses o al cambiar de dispositivo
- Cloudflare Tunnel Token: Al recrear el túnel
- WiFi: Al detectar acceso no autorizado o cada 6 meses
Notas importantes¶
- Los archivos
.envde los servicios Docker están en.gitignore. - No compartir credenciales por canales no seguros (correo, Telegram sin cifrar).
- Habilitar 2FA en todos los servicios que lo soporten.
- Reportar inmediatamente cualquier sospecha de compromiso.